作者：成都长风云Drupal开发团队

一、漏洞说明

Drupal 核心内置数据库抽象应用程序接口，可对数据库执行的查询语句进行安全过滤，以此防范结构化查询语言注入攻击。

该接口存在一处漏洞，攻击者可发送特制请求，对采用 PostgreSQL 数据库的网站发起任意结构化查询语言注入攻击。此举会造成信息泄露，部分情况下还可实现权限提升、远程代码执行以及其他各类攻击。

匿名用户即可利用该漏洞发起攻击。

此结构化查询语言注入漏洞仅影响使用 PostgreSQL 数据库的站点，但本次版本中附带的第三方依赖更新适用于所有网站。

二、上游安全公告

本次公告中，受支持分支（Drupal11.3、Drupal11.2、Drupal10.6、Drupal10.5）对应的 Drupal 版本，同步包含 Symfony 与 Twig 框架的安全更新。相关项目已同步发布重要安全通告，Drupal 也受到其中部分漏洞影响。

依据网站配置及第三方扩展模块情况，站点可能存在一项或多项上游漏洞风险。无论自身是否受本次注入漏洞影响，均强烈建议更新相关依赖组件。同时建议核查各类用户角色权限，确认哪些账号具备模板编辑权限，例如通过视图组件或第三方模块修改 Twig 模板的权限。

三、解决方案

安装最新程序版本即可修复漏洞。

程序自动化打包完成后，对应版本将会正式上线，打包期间访问页面可能出现 404 报错。包仓库平台或许会更早同步更新安装包。

1、Drupal 11 版本

使用 11.3.x 系列，升级至 11.3.10 版本

使用 11.2.x 系列，升级至 11.2.12 版本

使用 11.1.x、11.0.x 系列，升级至 11.1.10 版本

2、Drupal 10 版本

使用Drupal 10.6.x 系列，升级至Drupal 10.6.9 版本

使用Drupal 10.5.x 系列，升级至Drupal 10.5.10 版本

使用Drupal 10.4.x 及更早版本，升级至Drupal 10.4.10 版本

3、Drupal 9、8 版本

所有 Drupal 9 版本，可手动适配对应Drupal 9.5 版本漏洞补丁

Drupal 8.9 版本，可手动适配对应Drupal 8.9 版本漏洞补丁

Drupal 11.1.x、11.0.x、10.4.x 及更低版本均已停止维护，不再提供安全防护支持，Drupal8 与 Drupal9 也已终止生命周期。鉴于本次漏洞危害程度较高，官方尽力为停服版本提供修复安装包与补丁程序。这类老旧版本仍存在过往已披露的其他安全漏洞。